Diritti interna
Doveri interna
Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali - FONDAMENTI DI LICEITA' DEL TRATTAMENTO
Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali - FONDAMENTI DI LICEITA´ DEL TRATTAMENTO
Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali
(La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo)
La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.
Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d´ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).
Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci.
La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo.
 | FONDAMENTI DI LICEITA´ DEL TRATTAMENTO |
|
Il regolamento conferma che ogni trattamento deve trovare fondamento in un´idonea base giuridica; i fondamenti di liceità del trattamento sono indicati all´art. 6 del regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy - d.lgs. 196/2003 (consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati).
In particolare: | |||
| CONSENSO | Cosa cambia? | - Per i dati "sensibili" (si veda art. 9 regolamento) il consenso DEVE essere "esplicito"; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22). Si segnalano, al riguardo, le linee-guida in materia di profilazione e decisioni automatizzate del Gruppo "Articolo 29" (WP 251), qui disponibili: www.garanteprivacy.it/regolamentoue/profilazione. - NON deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l´inequivocabilità del consenso e il suo essere "esplicito" (per i dati sensibili); inoltre, il titolare (art. 7.1) DEVE essere in grado di dimostrare che l´interessato ha prestato il consenso a uno specifico trattamento. - Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci. | |
| Cosa non cambia? | - DEVE essere, in tutti i casi, libero, specifico, informato e inequivocabile e NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo). - DEVE essere manifestato attraverso "dichiarazione o azione positiva inequivocabile" (per approfondimenti, si vedano considerando 39 e 42 del regolamento). | ||
|
Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all´interessato (art. 7.2), per esempio all´interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2). I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).
| |||
|
INTERESSE VITALE
| Cosa cambia? |
Si può invocare tale base giuridica solo se nessuna delle altre condizioni di liceità può trovare applicazione (si veda considerando 46)
| |
| INTERESSE LEGITTIMO PREVALENTE DI UN TITOLARE
| Cosa cambia? |
Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell´interessato NON SPETTA all´Autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di «responsabilizzazione» introdotto dal nuovo pacchetto protezione dati.
| |
| Cosa non cambia? |
L´interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell´interessato per costituire un valido fondamento di liceità.
Il regolamento chiarisce espressamente che l´interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.
| ||
|
Il Regolamento offre alcuni criteri per il bilanciamento in questione (si veda considerando 47) e soprattutto appare utile fare riferimento al documento pubblicato dal Gruppo "Articolo 29" sul punto (WP217).
Si confermano, inoltre, nella sostanza, i requisiti indicati dall´Autorità nei propri provvedimenti in materia di bilanciamento di interessi [si veda, per esempio, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 con riguardo all´utilizzo della videosorveglianza; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6068256 in merito all´utilizzo di sistemi di rilevazione informatica anti-frode; ecc.] con particolare riferimento agli esiti delle verifiche preliminari condotte dall´Autorità, con eccezione ovviamente delle disposizioni che il Regolamento ha espressamente abrogato (per es.: obbligo di notifica dei trattamenti).I titolari dovrebbero condurre la propria valutazione alla luce di tutti questi principi.
| |||
